Cercetătorul oferă un instrument pentru a ascunde malware în .Net

Un cercetător în domeniul securității informatice a lansat un instrument modernizat care poate simplifica plasarea unor software rău-detectabil în cadrul Microsoft.Net pe computerele Windows.

Instrumentul, numit.Net-Sploit 1.0, permite pentru modificarea.Net, o bucată de software instalată pe majoritatea mașinilor Windows care permite computerelor să execute anumite tipuri de aplicații.

Microsoft realizează o serie de instrumente de dezvoltare pentru programatori pentru a scrie aplicații compatibile cu cadrul. Oferă dezvoltatorilor avantajul de a scrie programe în mai multe limbi de nivel înalt, care vor funcționa pe un PC.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

.Net-Sploit permite unui hacker să modificarea cadrului.Net pe mașinile vizate, introducerea unui software rău intenționat în stil rootkit într-un loc neatins de software-ul de securitate și unde puțini oameni de securitate ar gândi să arate, a declarat Erez Metula, inginer de securitate software pentru 2BSecure care a scris instrumentul. "Veti fi surprins de cat de usor este sa realizati un atac", a spus Metula in timpul unei prezentari la conferinta de securitate de la Black Hat de la Amsterdam din 9 septembrie. Net-Sploit permite in esenta atacatorului sa inlocuiasca o bucata de cod legitima în.Net cu unul rău intenționat. Deoarece unele aplicații depind de părți ale cadrului.Net pentru a putea rula, înseamnă că malware-ul poate afecta funcția mai multor aplicații.

De exemplu, o aplicație care are un mecanism de autentificare ar putea fi atacată dacă cadrul.Net tampered trebuiau să intercepteze numele de utilizator și parolele și să le trimită la un server de la distanță, a spus Metula.

.Net-Sploit automatizează unele dintre sarcinile grele de codificare necesare pentru coruperea cadrului, accelerarea dezvoltării unui atac. De exemplu, poate ajuta la extragerea unei DLL relevante din cadrul și a implementa DLL-ul malware.

Metula a spus că un atacator ar trebui să aibă deja controlul asupra unei mașini înainte ca instrumentul să poată fi folosit. Avantajul coruperii cadrului.Net este că un atacator ar putea păstra în mod clandestin controlul asupra mașinii pentru o lungă perioadă de timp.

Ar putea fi abuzat de administratorii de sistem necinstiți care ar putea abuza de privilegiile lor de acces pentru a implementa așa-numitele "backdoors "sau malware decât permite accesul la distanță, a spus Metula.

Centrul de Răspuns la Securitate al Microsoft a fost notificat despre această problemă în septembrie 2008. Poziția companiei este că, deoarece un atacator ar trebui să aibă deja controlul asupra unui PC, nu există vulnerabilitate în.Net. Nu pare că Microsoft intenționează să emită o reparație pe termen scurt.

Cel puțin un oficial Microsoft a stat de vorbă cu Metula după prezentarea sa, apărând poziția companiei. Metula a spus că, de asemenea, nu consideră că problema este o vulnerabilitate, ci mai degrabă o slăbiciune, deși Microsoft ar putea lua măsuri pentru a face un astfel de atac mult mai dificil.

"Nici o soluție împotriva bulletului nu o va rezolva", a spus Metula. De asemenea, furnizorii de securitate ar trebui să-și actualizeze software-ul pentru a detecta incorectarea cadrului.Net, Metula a spus … Net nu este singurul cadru de aplicații vulnerabil la atac, deoarece variațiile ar putea fi aplicate și altor cadre de aplicație, cum ar fi Java Virtual Machine (JVM) folosit pentru rularea programelor scrise în Java

Metula a publicat o lucrare albă despre tehnică, precum și cea mai recentă versiune a.Net-Sploit